划线:彼得包,ESQ。

似乎每周没有通过报告其客户的公司’个人信息是有意地被骚扰或无意中暴露的。 2011年4月,索尼报告说,黑客偷了其在线视频游戏中超过1亿用户的名称,出生日期和可能的信用卡号码。 2011年5月,花旗集团发现,近40万信用卡账户被黑了攻击,导致270万美元的损失。发现这种违规后出现的许多问题之一是如何通知受影响的客户。

2003年,加利福尼亚成为第一个制定数据安全违规通知法的州。加州民法典第1798.82部分要求拥有包括个人信息的拥有或许可计算机化数据的人,向任何未加密的个人信息的国家居民披露违约,或者被未经授权的人员收购的任何国家居民。

“Personal information” means an individual’■当名称或数据元素未加密时,初始名称或第一个姓名和姓氏以及以下任何一个或多个数据元素的组合:

(1)社会安全号码;

(2)司机’S许可证号码或加利福尼亚州身份证号码;

(3)账号,信用卡或借记卡号码与任何所需的安全代码,访问代码或密码组合,允许访问个人’s financial account;

(4)医疗信息2;和

(5)健康保险信息.3,4

必须制造披露“在最有利的时间,没有不合理的延迟。”5额外时间只能在两个实例中允许:

(1)如果执法机构确定通知将阻碍刑事调查,以及

(2)采取必要措施,确定违规行为,恢复数据系统的合理完整性.6

通知方法,例如,书面,电子或替代通知,在民法典第1798.82节中概述。重要的是要注意,违反加州受伤的客户’S通知要求可以提起民事诉讼,以恢复损害.7

直到最近,对通知的内容没有任何要求。但是,2011年8月31日州长棕色签署的参议院账单24修订通知法并制定适用于2012年1月1日或之后发生的违规行为的重要变更。

新法律要求通知包含有关违约的具体信息,包括以下内容:

(1)个人信息的列表或合理地认为是违约的主题;

(2)违约的日期,预计日期或日期范围;

(3)由于执法调查,是否延误了通知;

(4)违规事件的一般描述;和

(5)如果违规暴露了社会安全号码或司机,则免费电话号码和主要信用报告机构的地址’S许可证或加州身份证号码。

参议院账单24增加的另一项要求是,在某些情况下,企业将需要通知加州司法部长。更具体地说,如果加州500多名加利福尼亚州的违约通知,则必须将业务视为电子方式向司法部长宣传安全泄露通知的样本副本,不包括任何个人可识别的信息。

对于拥有全国各地客户的加利福尼亚州的业务,重要的是要意识到并监测其他有关违反通知的国家法律。除了阿拉巴马州,肯塔基州,新墨西哥和南达科他州,每个州以及哥伦比亚,波多黎各和维尔京群岛的区都颁布了必要通知涉及个人信息的安全漏洞的立法.8

鉴于安全漏洞的不可预测性质,必须提前准备公司,并通过律师遵守适用法律的律师进行安全违规手续,以便在违约事件中迅速回应。加州法律的这些新的变更为公司重新审视目前的政策和程序提供了机会,或者创建了以前不存在的政策和程序。

1个文明。代码§1798.82(a)。

2 “Medical information”意味着有关个人的任何信息’S病史,精神或身体状况,或医疗或医疗或诊断由医疗保健专业人员。 (文明。代码§1798.82(f)(2)。

3 “健康保险信息” means an individual’S Health保险单位或订户识别号码,健康保险公司使用的任何唯一标识符来识别个人或个人中的任何信息’S申请和索赔历史记录,包括任何上诉记录。 (文明。代码§1798.82(f)(3)。)

4个文明。代码§1798.82(e)。

5个文明。代码§1798.82(a);重点补充。

6个文明。代码§1798.82(c)。

7个文明。代码§1798.84(b)。